文章总结： 研究人员发现首款全AI构建的高级恶意软件框架VoidLink，单人利用AI快速生成超8.8万行代码。其采用eBPF和LKMrootkit技术，针对云环境。该发现表明AI大幅降低了恶意软件开发门槛，个人即可构建复杂的攻击系统，警示行业需防范AI驱动的新型威胁。 综合评分： 85 文章分类： 恶意软件,AI安全,威胁情报

首款全AI驱动的威胁框架高级恶意软件VoidLink问世，开启恶意软件新时代

FreeBuf

2026年1月22日 18:31 上海

网络安全领域迎来了危险的新篇章——研究人员发现了首款几乎完全由人工智能构建的高级恶意软件框架VoidLink。与以往黑客利用AI制作简单恶意工具不同，VoidLink标志着威胁行为者已能借助AI以前所未有的速度开发复杂攻击系统。

Check Point研究团队在常规监控活动中发现了这款恶意软件。其成熟的架构、高效的设计和先进的技术特征立即引起关注。最初看似资金雄厚团队的作品，实则为单人开发者借助AI在一周内完成的成果。

研究人员通过追踪其命令控制基础设施，发现了开发者犯下的关键安全错误。这些操作失误暴露了整个开发过程，包括规划文档、源代码和内部通讯记录。泄露资料显示，名为TRAE SOLO的AI模型制定了横跨30周、涉及三个模拟开发团队的详细项目计划，包含冲刺进度表和编码规范。

Part01

AI驱动的开发流程

VoidLink的创建过程揭示了AI如何将恶意软件开发从团队协作转变为单人操作。开发者首先向TRAE AI助手提供基本需求和最小化代码框架。随后AI将需求分解为详细架构方案，为使用不同编程语言的三个虚拟团队分配任务，并生成最终恶意软件需遵循的严格编码准则。

恢复的文档显示，AI制定了包含具体里程碑、功能清单和测试标准的详细冲刺计划。每个冲刺阶段都会产出可测试优化的有效代码。这种方法让开发者能保持质量控制，同时由AI处理复杂实现工作。Check Point研究人员使用相同AI工具和文档复现该流程时，成功生成了与原始VoidLink框架高度相似的代码。

VoidLink采用eBPF和LKM rootkit等先进技术隐藏其在受感染系统中的存在，并配备专门针对云环境和容器平台的模块。其开发方法尤为令人担忧——创建者采用”规范驱动开发”模式，AI首先生成包含技术规范的完整蓝图，再根据计划编写实际恶意代码。截至2025年11月下旬，开发者已指示AI设计框架，到12月初，VoidLink的功能代码已超过8.8万行。

这一发现对网络安全行业具有重大警示意义。VoidLink证明，具备适当技能的个人现在就能开发出以往需要经验丰富程序员团队协作才能完成的恶意软件。证据虽清晰展现了VoidLink的诞生过程，却引出一个严峻问题：还有多少类似的AI驱动恶意软件框架未被发现？

参考来源：

New AI Malware Era Begins as Advanced VoidLink Malware Emerges as the First Fully AI-Driven Threat Framework

New AI Malware Era Begins as Advanced VoidLink Malware Emerges as the First Fully AI-Driven Threat Framework

#

#

#

推荐阅读

电台讨论

#

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《首款全AI驱动的威胁框架高级恶意软件VoidLink问世，开启恶意软件新时代》